Nuevo Reglamento de Protección de Datos (D.S. 016-2024-JUS): Todo lo que cambió

El reglamento de datos personales que todo emprendedor peruano debe conocer

El 30 de noviembre de 2024, el Estado peruano publicó en el Diario Oficial El Peruano el Decreto Supremo N° 016-2024-JUS, que aprobó el nuevo Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales. Entró en vigor el 30 de marzo de 2025 y reemplazó al reglamento anterior de 2013, que tenía más de una década desactualizado.

Este no es un ajuste menor. Es el cambio normativo más importante que el Perú ha tenido en materia de datos personales desde la publicación de la Ley 29733 en 2011. Tiene 135 artículos, introduce figuras nuevas como el Oficial de Datos Personales, obliga a notificar filtraciones en 48 horas, alcanza a empresas extranjeras que venden al mercado peruano y acerca el marco peruano a estándares internacionales como el RGPD europeo.

Si tienes un ecommerce, una web corporativa, una app, un CRM con clientes o simplemente una lista de correos que usas para enviar promociones, este reglamento te toca. Y te toca desde marzo de 2025, no en el futuro. Este artículo explica qué cambió, por qué cambió y qué tienes que hacer para adecuarte sin volverte loco. Si antes quieres entender la ley madre que este reglamento desarrolla, revisa el artículo sobre la Ley 29733 de Protección de Datos Personales.

Por qué se publicó un nuevo reglamento en 2024

El reglamento anterior era el Decreto Supremo N° 003-2013-JUS. Cuando se redactó, en 2013, no existía ChatGPT, Uber todavía no operaba en Lima, los ecommerce eran una rareza y las cookies de seguimiento avanzadas apenas empezaban. El marco operativo quedó corto para un mundo con IA generativa masiva, tracking publicitario, computación en la nube internacional y economía de plataformas.

La ANPD y el Ministerio de Justicia tenían tres objetivos claros al redactar el nuevo reglamento:

• Actualizar definiciones y conceptos para cubrir realidades tecnológicas de 2024.
• Acercar el marco peruano al Reglamento General de Protección de Datos de la Unión Europea (RGPD) para facilitar el comercio y el reconocimiento internacional.
• Dar herramientas más claras a la autoridad para fiscalizar y a las empresas para cumplir.

El resultado es una norma más ambiciosa y más exigente que la anterior. Según análisis publicados por firmas como Dentons, Garrigues, Payet Rey Cauvi, CMS Law y Estudio Echecopar, este reglamento coloca al Perú «a la vanguardia de la protección de datos en América Latina».

Fechas clave que tienes que tener anotadas

Aquí hay varias fechas importantes que conviene memorizar porque definen desde cuándo te aplica cada cosa.

El punto crítico es el 30 de marzo de 2025. A partir de esa fecha, todas las empresas que traten datos personales en el Perú ya están bajo el nuevo marco. Y a partir del 30 de noviembre de 2025, las empresas grandes ya debían tener designado a su Oficial de Datos Personales.

Los 10 cambios más importantes del nuevo reglamento

Hay muchos cambios técnicos y de redacción, pero estos son los diez que más impacto tienen en el día a día de una empresa peruana.

1. Definición ampliada de dato personal

El nuevo reglamento incorpora expresamente los identificadores en línea (cookies, IDs publicitarios, huellas digitales de navegador) y los datos de localización dentro del concepto de dato personal. En el reglamento de 2013 esto era debatible. Ahora ya no lo es.

Consecuencia práctica: si tu web usa Google Analytics, píxeles de Facebook, cookies de remarketing o cualquier sistema de tracking, estás tratando datos personales y necesitas base legal y consentimiento válido.

2. Aplicación extraterritorial

Este es uno de los cambios más relevantes para el ecosistema digital. El nuevo reglamento se aplica también a empresas que no están establecidas en Perú, cuando:

• Ofrecen bienes o servicios dirigidos a titulares de datos personales ubicados en el Perú.
• Analizan el comportamiento de personas en el Perú (perfilado, scoring, recomendaciones personalizadas).

Es decir, una startup con sede en Miami o en Madrid que vende a consumidores peruanos queda sujeta a la Ley 29733 y al D.S. 016-2024-JUS. Esto replica el principio de extraterritorialidad del RGPD europeo.

3. Nuevos principios incorporados expresamente

El reglamento añade principios que antes no estaban claros en el texto reglamentario:

• Transparencia: el tratamiento debe ser informado de manera permanente, clara, fácil de entender y accesible al titular.
• Responsabilidad proactiva (accountability): el titular del banco de datos debe ser capaz de demostrar que cumple. No basta con decir «sí cumplo», hay que tener evidencia documentada.

4. Figura del Oficial de Datos Personales (ODP/DPO)

El ODP es la versión peruana del Data Protection Officer del RGPD. Es una persona designada formalmente por la empresa para supervisar el cumplimiento de la normativa de protección de datos. Lo veremos en detalle más abajo porque es uno de los cambios con más implicaciones prácticas.

5. Notificación obligatoria de brechas en 48 horas

Si tu empresa detecta un incidente de seguridad (hackeo, filtración, pérdida de dispositivos con datos, acceso no autorizado), tienes 48 horas para notificarlo a la ANPD. El reglamento define con detalle qué debe contener la notificación. En el reglamento de 2013 esto no estaba regulado con esa precisión.

6. Derecho de portabilidad

Es un derecho nuevo. El titular puede pedir que le entregues sus datos en un formato estructurado y reutilizable para llevárselos a otro prestador. Si un cliente quiere migrar de tu plataforma a la competencia, puede exigir sus datos en un formato útil, no en un PDF ilegible.

7. Privacidad desde el diseño y por defecto

Conocido como «privacy by design and by default», obliga a incorporar la protección de datos al diseñar productos, servicios, webs, apps o procesos. No puedes construir primero y pensar en privacidad después. El cumplimiento tiene que estar en el ADN del proyecto.

8. Evaluación de impacto en protección de datos (EIPD)

Para tratamientos de alto riesgo (por ejemplo, videovigilancia masiva, perfilado con IA, uso de datos biométricos, tratamiento de datos de menores a gran escala), el responsable debe hacer una evaluación de impacto antes de empezar. Esta evaluación documenta los riesgos y las medidas para mitigarlos.

9. Reglas más detalladas para transferencias internacionales

Cuando envías datos fuera del Perú (por ejemplo, porque usas un CRM con servidores en Estados Unidos o Europa), ahora hay reglas más claras. La carga de la prueba está en el responsable: eres tú quien tiene que demostrar que el país destino ofrece un nivel adecuado de protección, o que has establecido garantías contractuales apropiadas.

10. Consentimiento reforzado y demostrable

El consentimiento debe ser libre, previo, expreso, informado, inequívoco y demostrable. Esa última palabra es la clave. No basta con afirmar que el usuario aceptó. Tienes que poder probar cuándo, cómo y en qué términos aceptó. En auditorías, esto se traduce en registros técnicos de consentimiento con fecha, hora, IP y versión del texto aceptado.

Tabla comparativa: reglamento 2013 vs. reglamento 2024

Esta tabla resume los contrastes más importantes entre el marco anterior y el nuevo, en formato rápido para que puedas identificar qué te toca revisar.

El Oficial de Datos Personales: quién está obligado

El Oficial de Datos Personales (ODP), también llamado DPO por las siglas en inglés, es la figura que más dudas está generando entre empresas peruanas. Vamos a lo concreto.

Qué es el ODP

Es una persona designada formalmente por la empresa (o entidad pública) para supervisar que el tratamiento de datos personales se haga conforme a la Ley 29733 y al reglamento. Actúa como nexo entre la organización y la Autoridad Nacional de Protección de Datos Personales.

Funciones del ODP

• Asesorar al responsable del tratamiento y a los colaboradores sobre sus obligaciones en materia de protección de datos.
• Supervisar el cumplimiento de la normativa vigente y de las políticas internas.
• Cooperar con la ANPD en el ejercicio de sus funciones de fiscalización.
• Actuar como punto de contacto entre la organización y la ANPD.
• Atender las solicitudes de titulares cuando la empresa lo haya designado como canal.
• Participar en las evaluaciones de impacto en protección de datos.

Quién está obligado a tenerlo

La obligación es escalonada según el tamaño de la empresa y comenzó a aplicarse el 30 de noviembre de 2025. En noviembre de 2025, EY Perú y otras firmas alertaron públicamente a las empresas sobre esta obligación. La Directiva que regula la designación, desempeño y funciones del ODP fue aprobada por Resolución Directoral N° 100-JUS-DGTAIPD en diciembre de 2025.

Quedan obligadas en particular:

• Empresas grandes y medianas por volumen de ventas y número de titulares de datos tratados.
• Entidades que traten datos sensibles a gran escala (clínicas, laboratorios, aseguradoras).
• Entidades que hacen observación sistemática a gran escala de titulares (scoring, publicidad programática avanzada).
• Entidades públicas en general.

Riesgo de no designarlo

No designar el ODP cuando corresponde es una infracción leve, sancionable con multa de 0.5 a 5 UIT. Con la UIT 2026 en S/ 5,500, eso equivale a multas de S/ 2,750 a S/ 27,500. Parece poco comparado con las multas graves, pero se suma a otras infracciones y sirve como señal de incumplimiento sistémico a la ANPD.

Notificación de brechas en 48 horas: cómo se hace

Esta obligación, del artículo 34 del nuevo reglamento, es una de las que más presión pone a los equipos de seguridad. Te explico paso a paso cómo funciona.

Qué cuenta como incidente de seguridad

Toda vulneración de la seguridad que ocasione la destrucción, pérdida, alteración ilícita de los datos personales o la comunicación o exposición no autorizada a dichos datos. Ejemplos típicos:

• Hackeo a tu base de datos de clientes.
• Pérdida de una laptop con datos sin cifrar.
• Envío de correos con archivos adjuntos al destinatario equivocado.
• Mala configuración de permisos en un servidor en la nube que expone datos públicamente.
• Phishing exitoso que compromete credenciales de administrador.
• Empleado que filtra datos a un competidor.
• Fallo de una aplicación que expone datos de un usuario a otro.

Qué debes hacer en las primeras 48 horas

1. Detectar el incidente y documentar la hora exacta.
2. Contener el incidente para evitar que siga propagándose.
3. Evaluar el alcance: qué datos se vieron afectados y cuántas personas.
4. Notificar a la ANPD con el formato que la autoridad establece.
5. Si el incidente afecta directamente a los titulares, notificar también a ellos en el mismo plazo.
6. Documentar todo el proceso para respaldar la notificación.

Qué debe contener la notificación

• Naturaleza del incidente.
• Categorías y número aproximado de titulares afectados.
• Categorías y volumen aproximado de datos personales comprometidos.
• Datos de contacto del Oficial de Datos Personales.
• Consecuencias probables del incidente.
• Medidas adoptadas o propuestas para mitigar el daño.

Qué pasa si no notificas en plazo

Omitir la notificación o hacerla fuera de plazo es una infracción propia, que se suma a las consecuencias de la propia brecha. En el régimen actual, las filtraciones graves por falta de medidas de seguridad pueden llevar a multas de hasta 100 UIT (S/ 550,000 con la UIT 2026). Varios análisis publicados por Infobae Perú y EY Perú destacaron esta cifra como la sanción máxima posible bajo el nuevo reglamento.

Aplicación extraterritorial: qué significa para empresas extranjeras

Este punto abre un tema que antes no estaba claro. El artículo del reglamento dedicado al ámbito de aplicación establece que la norma alcanza a titulares de bancos de datos o responsables del tratamiento que no están establecidos en Perú, pero que:

• Ofrecen bienes o servicios dirigidos a titulares ubicados en Perú.
• Hacen análisis de comportamiento o elaboración de perfiles de personas en Perú.

En la práctica, eso significa que:

• Un SaaS extranjero que vende suscripciones a empresas peruanas debe cumplir el marco peruano de datos.
• Una plataforma de ecommerce internacional que atiende clientes en Lima queda sujeta a la ley peruana.
• Una red publicitaria que perfila a usuarios peruanos para targeting debe respetar los derechos de los titulares peruanos.
• Una empresa de IA que entrena modelos con datos de personas en Perú debe considerar las reglas peruanas.

Este cambio iguala al Perú con el RGPD europeo en cuanto a alcance. Para los emprendedores peruanos que trabajan con proveedores extranjeros, es útil: esos proveedores ahora tienen un incentivo real para ofrecer contratos y cláusulas alineadas con el marco peruano.

Privacidad desde el diseño: qué implica en la práctica

El principio de «privacy by design and by default» parece abstracto, pero tiene implicaciones muy concretas.

Desde el diseño

Significa que cuando diseñas un producto, servicio, web, app o proceso, la protección de datos tiene que estar incorporada desde el inicio. No puedes construir primero y pensar en privacidad al final.

En la práctica:

• Un ecommerce debe incluir desde el wireframe la ubicación del banner de cookies, el enlace a la política de privacidad en el footer y los checkboxes de consentimiento en los formularios.
• Una app móvil debe pedir permisos granulares y justificados, no bloques indiscriminados.
• Un CRM debe configurarse con permisos mínimos por rol, no con acceso total para todos.
• Un chatbot debe informar al usuario que es una IA antes de empezar la conversación.

Por defecto

Significa que la configuración más privada debe ser la opción por defecto. El usuario tiene que dar un paso activo para compartir más de lo estrictamente necesario, no al revés.

En la práctica:

• El checkbox de «recibir promociones» viene desmarcado.
• Las opciones de visibilidad de perfil en una plataforma social empiezan en «privado», no en «público».
• Las cookies no esenciales están desactivadas hasta que el usuario las acepte activamente.
• El tracking publicitario no se activa hasta que se consiente.

Cómo adecuarse al nuevo reglamento paso a paso

Si recién estás empezando el proceso de adecuación, esta hoja de ruta te sirve como plan de trabajo práctico. No es exhaustiva, pero cubre el 80% de los puntos críticos.

Paso 1: Diagnóstico inicial

1. Mapea qué datos personales recoges, dónde los guardas, quién los usa, para qué, con quién los compartes y cuánto tiempo los mantienes.
2. Identifica todos los bancos de datos de la empresa: clientes, proveedores, empleados, leads, suscriptores, candidatos a puestos.
3. Lista todos los proveedores externos que tocan tus datos (hosting, email marketing, CRM, contabilidad, analítica, pasarelas de pago).

Paso 2: Revisar documentación legal

1. Actualiza la política de privacidad con los nuevos contenidos exigidos (portabilidad, datos del ODP si aplica, base legal de cada tratamiento).
2. Redacta avisos de privacidad cortos para cada punto de recolección.
3. Revisa y actualiza los contratos con proveedores encargados del tratamiento.
4. Revisa los términos y condiciones del sitio web.

Paso 3: Implementar mecánicas de consentimiento

1. Reemplaza checkboxes premarcados por desmarcados.
2. Implementa un sistema de registro técnico del consentimiento (fecha, hora, IP, versión del texto, acción).
3. Instala un gestor de cookies con opciones granulares.
4. Habilita un mecanismo fácil para retirar el consentimiento.

Paso 4: Seguridad y organización

1. Revisa las medidas técnicas de seguridad de cada banco de datos.
2. Documenta un procedimiento de gestión de incidentes con plantilla de notificación a la ANPD.
3. Define roles y responsabilidades internas.
4. Evalúa si estás obligado a designar Oficial de Datos Personales.
5. Forma al equipo en lo básico del reglamento.

Paso 5: Registro y evaluaciones

1. Inscribe (o actualiza) los bancos de datos en el Registro Nacional de Protección de Datos Personales.
2. Haz evaluaciones de impacto para los tratamientos de alto riesgo.
3. Documenta todas las decisiones con base en la responsabilidad proactiva.

Paso 6: Revisión periódica

1. Revisa el cumplimiento al menos una vez al año.
2. Actualiza la política cuando cambien finalidades o procesos.
3. Repite capacitaciones.
4. Audita el comportamiento real vs. el declarado.

Para profundizar en las obligaciones técnicas de seguridad (medidas concretas, cifrado, respaldos, control de acceso), revisa el artículo sobre obligaciones técnicas de seguridad de datos personales.

Nueva metodología de cálculo de multas

En diciembre de 2025, el Ministerio de Justicia publicó dos documentos complementarios al reglamento:

• Resolución Directoral N° 100-JUS-DGTAIPD: directiva que regula la designación, desempeño y funciones del Oficial de Datos Personales.
• Resolución Ministerial N° 476-2025-JUS: metodología de cálculo de multas en materia de protección de datos personales.

La nueva metodología busca dar transparencia y predictibilidad a las sanciones. Incorpora los cambios del reglamento 2024 y establece criterios técnicos y objetivos para determinar el monto de cada multa, con circunstancias agravantes y atenuantes claramente definidas.

Criterios que agravan la multa

• Reincidencia (haber sido sancionado antes por la misma o similar infracción).
• Número de titulares afectados.
• Tratamiento de datos sensibles.
• Obstrucción a la fiscalización de la ANPD.
• Beneficio económico obtenido por la infracción.

Criterios que atenúan la multa

• Reconocimiento voluntario de la responsabilidad.
• Adopción voluntaria de medidas correctivas.
• Colaboración con la autoridad.
• Pronto pago (descuento del 40% disponible para quien consiente la multa y paga).

Errores más comunes en el proceso de adecuación

Estos son los tropiezos que más se ven en empresas que están intentando adecuarse pero lo hacen mal.

• Copiar la política de privacidad de otro sitio: cada negocio trata datos distintos con finalidades distintas. Una política genérica no cumple.
• Ignorar los contratos con proveedores: si Mailchimp, HubSpot o tu hosting tocan datos de tus clientes, necesitas condiciones contractuales que cubran el tratamiento.
• Pensar que el ODP es opcional: para las empresas obligadas, no es opcional ni se puede delegar al contador o al abogado general sin formación específica.
• No tener procedimiento de brechas: cuando ocurre el incidente, las 48 horas pasan volando. Sin un protocolo listo, es imposible cumplir el plazo.
• Consentimientos tácitos o premarcados: el reglamento exige consentimiento expreso y demostrable. Los checkboxes premarcados son una infracción.
• No documentar decisiones: la responsabilidad proactiva exige evidencia. Si no lo tienes por escrito, para la ANPD no existe.
• Olvidar los bancos de datos internos: la base de empleados, candidatos y proveedores también son datos personales y también hay que inscribirlos y protegerlos.

Preguntas frecuentes sobre el D.S. 016-2024-JUS

¿El nuevo reglamento deroga la Ley 29733?

No. La Ley 29733 sigue plenamente vigente. El reglamento 2024 solo deroga al reglamento anterior (D.S. 003-2013-JUS). La ley madre no cambió; lo que cambió es el desarrollo operativo de cómo se cumple.

¿Desde cuándo debo cumplir el nuevo reglamento?

Desde el 30 de marzo de 2025. Esa fecha es la entrada en vigor. Si tu empresa no se adecuó para esa fecha, ya estás en situación de incumplimiento. Las obligaciones relacionadas con el Oficial de Datos Personales tienen fechas escalonadas a partir del 30 de noviembre de 2025.

¿Mi pequeña empresa tiene que designar un Oficial de Datos Personales?

Depende del tamaño y del tipo de tratamiento. Las microempresas y pequeñas empresas que no hacen tratamiento intensivo de datos sensibles ni perfilado masivo normalmente no están obligadas a designar ODP. Las grandes y medianas, y las que traten datos sensibles a gran escala, sí. La Resolución Directoral N° 100-JUS-DGTAIPD detalla los criterios exactos.

¿Qué pasa con las empresas extranjeras que venden al Perú?

Desde el 30 de marzo de 2025 también están obligadas si ofrecen bienes o servicios a personas en Perú o analizan el comportamiento de personas en Perú. Deben designar un representante en territorio peruano para los fines de la ley.

¿Cómo notifico una brecha de seguridad a la ANPD?

A través de los canales oficiales que la Autoridad Nacional de Protección de Datos Personales ha habilitado en su portal gob.pe/anpd. La notificación debe incluir los contenidos mínimos que define el artículo 34 del reglamento y realizarse dentro de las 48 horas siguientes a la detección del incidente.

¿Necesito hacer una evaluación de impacto para mi ecommerce?

Depende. Si tu ecommerce hace tratamiento masivo, perfilado avanzado, scoring de clientes o trata datos sensibles, probablemente sí. Si es un ecommerce estándar que recoge datos básicos para enviar pedidos y comunicaciones, probablemente no necesite una EIPD formal, pero sí conviene documentar la evaluación de riesgos.

¿Las startups que usan IA generativa tienen obligaciones adicionales?

Sí. Cuando una empresa usa IA para tratar datos personales se suman las obligaciones de la Ley 31814 de Inteligencia Artificial y su reglamento. Esto se explica en detalle en el artículo sobre Ley 31814 e IA y datos personales en Perú.

¿Qué pasa si mi proveedor internacional no quiere firmar cláusulas de tratamiento?

Es un problema grave. Bajo el nuevo reglamento, tú (como titular del banco de datos) eres responsable de asegurar que el encargado cumpla con el marco peruano. Si tu proveedor se niega, tienes tres opciones: buscar otro proveedor, aceptar el riesgo y documentarlo (malo) o dejar de enviarle datos. Las dos primeras te exponen; la tercera no siempre es viable.

¿Cuánto cuesta adecuarse al nuevo reglamento?

No hay un número fijo. Una microempresa con una web sencilla puede hacer la adecuación básica con horas de trabajo y ajustes a su web. Una empresa mediana con ecommerce, CRM y múltiples proveedores necesita varios meses de trabajo con apoyo legal y técnico. El costo de no hacerlo (multa de hasta S/ 550,000 + reputación + procesos correctivos) suele ser mayor que el costo de adecuarse bien.

Cierre: el reglamento 2024 puso al Perú en la liga grande

El D.S. 016-2024-JUS no es un ajuste cosmético. Es una transformación del marco operativo de protección de datos en el Perú. Obliga a empresas grandes y pequeñas a tomar en serio algo que muchas venían postergando desde 2011.

Lo bueno: el reglamento acerca al Perú a estándares internacionales y eso beneficia a las empresas que quieren expandirse, conseguir clientes fuera del país o trabajar con proveedores internacionales exigentes. Lo desafiante: exige trabajo, documentación, formación y, en muchos casos, inversión técnica en seguridad.

La ANPD ya mostró en 2024 que fiscaliza en serio: impuso más de S/ 13 millones en multas, fiscalizó a 454 entidades y abrió 133 procedimientos sancionadores. Con el nuevo reglamento, la nueva metodología de cálculo de multas y la nueva figura del Oficial de Datos Personales, la tendencia solo puede ir hacia arriba.

Si todavía no has iniciado la adecuación, el mejor momento para empezar fue en marzo de 2025. El segundo mejor momento es hoy. Revisa el mapa completo del marco en la guía de protección de datos personales en Perú y arranca por el paso 1 del plan de adecuación.

Fuentes consultadas

1. Decreto Supremo N° 016-2024-JUS, que aprueba el Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales. Diario Oficial El Peruano, separata especial del 30 de noviembre de 2024. https://busquedas.elperuano.pe/dispositivo/SE/2349653-1
2. Ley N° 29733, Ley de Protección de Datos Personales. Diario Oficial El Peruano, 3 de julio de 2011. https://spij.minjus.gob.pe
3. Decreto Legislativo N° 1353, que fortalece el Régimen de Protección de Datos Personales. 7 de enero de 2017.
4. Decreto Supremo N° 003-2013-JUS, reglamento anterior derogado por el D.S. 016-2024-JUS.
5. Resolución Ministerial N° 476-2025-JUS/SG, que aprueba la metodología de cálculo de multas en materia de protección de datos personales. Diciembre de 2025. https://www.gob.pe/institucion/anpd/normas-legales/7575999-476-2025-jus-sg
6. Resolución Directoral N° 100-JUS-DGTAIPD, directiva que regula la designación, desempeño y funciones del Oficial de Datos Personales. Diciembre de 2025.
7. Decreto Supremo N° 301-2025-EF, que aprueba el valor de la UIT para 2026 en S/ 5,500. Diario Oficial El Peruano, 17 de diciembre de 2025. https://lpderecho.pe/valor-uit-2026-decreto-supremo-301-2025-ef/
8. Autoridad Nacional de Protección de Datos Personales (ANPD). Portal oficial. https://www.gob.pe/anpd
9. Ministerio de Justicia y Derechos Humanos. «MINJUSDH refuerza la protección de datos personales con nueva directiva y metodología de cálculo de multas». Diciembre de 2025. https://www.gob.pe/institucion/minjus/noticias/1324603-minjusdh-refuerza-la-proteccion-de-datos-personales-con-nueva-directiva-y-metodologia-de-calculo-de-multas
10. Ministerio de Justicia y Derechos Humanos. «Autoridad Nacional de Protección de Datos Personales impuso multas por más de S/ 13 millones por infracciones a la normativa el año 2024». 10 de enero de 2025. https://www.gob.pe/institucion/minjus/noticias/1088896-autoridad-nacional-de-proteccion-de-datos-personales-impuso-multas-por-mas-de-s-13-millones-por-infracciones-a-la-normativa-el-ano-2024
11. IAPP (International Association of Privacy Professionals). «Se publica el nuevo reglamento de protección de datos personales en Perú». https://iapp.org/news/a/se-publica-el-nuevo-reglamento-de-protecci-n-de-datos-personales-en-per-
12. Garrigues. «Perú: Se publica el nuevo Reglamento de la Ley de Protección de Datos Personales». https://www.garrigues.com/es_ES/noticia/peru-publica-nuevo-reglamento-ley-proteccion-datos-personales
13. Dentons. «Nuevo reglamento de la ley de Protección de Datos Personales». https://www.dentons.com/es/insights/articles/2024/december/2/nuevo-reglamento-de-la-ley-de-proteccion-de-datos-personales
14. CMS Law. «Aprueban Nuevo Reglamento de la Ley de Protección de Datos Personales». https://cms.law/es/per/publication/aprueban-nuevo-reglamento-de-la-ley-de-proteccion-de-datos-personales
15. Estudio Echecopar. «Nuevo reglamento de la Ley de Protección de Datos Personales». https://echecopar.com/publicaciones-nuevo-reglamento-de-la-ley-de-proteccion-de-datos-personales/
16. LP Derecho. «Reglamento de la Ley de protección de datos personales [Decreto Supremo 016-2024-JUS]». https://lpderecho.pe/reglamento-ley-proteccion-datos-personales-decreto-supremo-016-2024-jus/
17. EY Perú. «Empresas podrían recibir multas de hasta S/ 26,750 por no designar a un Oficial de Protección de Datos antes del 30 de noviembre». Noviembre de 2025. https://www.ey.com/es_pe/newsroom/2025/11/multas-no-designa-oficial-proteccion-datos
18. LexLatin. «Ley 29733 de Perú: ¿Qué cambios introduce el reglamento de protección de datos personales vigente?». https://lexlatin.com/entrevistas/ley-29733-cambios-reglamento-proteccion-datos–peru
19. Infobae Perú. «Empresas en Perú enfrentarán sanciones de hasta 535 mil soles por filtración de datos personales». 29 de enero de 2025. https://www.infobae.com/peru/2025/01/29/empresas-en-peru-enfrentaran-sanciones-de-hasta-535-mil-soles-por-filtracion-de-datos-personales-que-hacer-ante-ciberataques/